Finalità del ciclo di vita nel System Engineering

Transcript

1 Fasi del ciclo di vita overview Finalità del ciclo di vita nel System Engineering Modularità Individuazione più agevole delle componenti riutilizzabili Ciclo di vita Esaustività Certezza di coprire tutte le fasi necessarie Dimostrabilità Rapid prototyping Analisi precoce di carenze e punti di forza del sistema Possibilità di documentare agevolmente il processo in sede di certificazione

2 Fasi del ciclo di vita overview Ciclo di vita Rapid prototyping Analisi precoce di carenze e punti di forza del sistema Capitolato cliente Altri requisiti iniziali (standard, condizioni operative, sistemi esistenti in Azienda, ecc) Analisi funzionale di sistema Requisiti di sistema (funzionali / prestazionali) Validazione analitica del requisito, simulazione, confronto con sistemi esistenti

3 Fasi del ciclo di vita overview Ciclo di vita Dimostrabilità Possibilità di documentare agevolmente il processo in sede di certificazione Piano di Sicurezza e V&V Piano di Qualifica Piano di Sviluppo Piano di Documentazione Documentazione di sviluppo Rapporti di V&V Cliente Documentazione RAMS Assessor

4 Fasi del ciclo di vita overview NORMATIVE di RIFERIMENTO: CENELEC EN Railway applications - The specification and demonstration of Reliability, Availability, Maintainability and Safety (RAMS) CENELEC EN Railway applications - Software for railway control and protection systems CENELEC EN Railway Applications - Safety related electronic systems for signalling CENELEC EN Railway application - Insulation coordination - Part 1: Basic requirements - clearances and creepage distances for all electrical and electronic equipment CENELEC EN Railway application - emc

5 Fasi del ciclo di vita overview Sequenza logica delle fasi (CENELEC 50126) Fasi di Sviluppo e Validazione

6 Fasi del ciclo di vita overview Sequenza logica delle fasi (CENELEC 50126) Fasi di Sviluppo e Validazione (dettaglio)

7 Fasi del ciclo di vita overview Fasi di Sviluppo e Validazione (dettaglio) Sequenza logica delle fasi (CENELEC 50126) SW-related activities HW-related activities

8 Fasi del ciclo di vita overview System Development Phase System Requirements Specification System Safety Requirements Specification System Architecture Description System Safety Plan Software Maintenance Phase Software Maintenance Records Software Change Records Software Assessment Phase Software Assessment Report SW-related activities (CENELEC 50128) Software Requirements Spec Phase Software Requirements Specification Software Requirements Test Specification Software Requirements Verification Report Software Validation Phase Software Validation Report Software/hardware Integration Phase Software/hardware Integration Test Report Software Planning Phase Software Development Plan Software Quality Assurance Plan Software Config Management Plan Software Verification Plan Software Integration Test Plan Software/hardware Integration Test Plan Software Validation Plan Software Maintenance Plan Software Architecture & Design Phase Software Architecture Specification Software Design Specification Software Architecture and Design Verification Report Software Integration Phase Software Integration Test Report SW Architecture Verif Report Software Module Design Phase Software Module Design Spec Software Module Test Spec Software Module Verification Report Software Module Testing Phase Software Module Test Report SW Module Verification Report Code Phase Software Source Code & Supporting Documentation Software Source Code Verification Report

9 Fase 2 Definizione di Sistema Studio di fattibilità tecnica Valutazione commerciale e di programma Definizione del sistema Profilo di missione Piano di Safety Condizioni applicative

10 Fase 3 Analisi del Rischio Concetti generali Il rischio dipende da 1. Frequenza di accadimento di situazioni pericolose 2. Conseguenze derivanti dalle situazioni pericolose Criteri di Classificazione per Frequenza di accadimento Conseguenze

11 Fase 3 Analisi del Rischio Concetti generali Classificazione della frequenza di accadimento (CENELEC 50126) Livello Frequenza di accadimento Definizione A Frequente Probabile che accada frequentemente. La situazione pericolosa si presenterà continuamente B C D E F Probabile Occasionale Remoto Improbabile Incredibile Accadrà parecchie volte. Ci si può aspettare che la situazione pericolosa si presenti spesso Probabile che accada parecchie volte. Ci si può aspettare che la situazione pericolosa si presenti parecchie volte Probabile che accada qualche volta nella vita del sistema. Ci si può ragionevolmente aspettare che la situazione pericolosa per i presenti Improbabile che accada ma possibile. Si può assumere che la situazione pericolosa possa presentarsi eccezionalmente Estremamente improbabile che accada. Si può assumere che la situazione pericolosa possa non presentarsi

12 Fase 3 Analisi del Rischio Classificazione delle conseguenze Classe Livello di gravità Definizione 4 Catastrofico Morte e/o parecchie persone ferite e/o danni maggior all ambiente 3 Critico Morte di una persona e/o lesione grave di una persona e/o importante danno all ambiente 2 Marginale Ferite leggere e/o importante minaccia per l ambiente 1 Trascurabile Possibile leggera ferita

13 Fase 3 Analisi del Rischio Matrice di classificazione del rischio Frequenza di accadimento Categoria di gravità 4 Catastrofico 3 Critico 2 Marginale 1 Trascurabile A Frequente 4A 3A 2A 1A B Probabile 4B 3B 2B 1B C Occasionale 4C 3C 2C 1C D Remoto 4D 3D 2D 1D E Improbabile 4E 3E 2E 1E F Incredibile 4F 3F 2F 1F Hazard Risk Index Severity Probability Suggested Criteria 1 4A, 4B, 4C, 3A, 3B, 2A Unacceptable 2 4D, 3C, 3D, 2B, 2C Undesirable (Management Decision Required) 3 4E, 4F, 3E, 2D, 2E, 1A, 1B Acceptable with Review by Management 4 3F, 2F, 1C, 1D, 1E, 1F Acceptable without Review

14 Fase 3 Analisi del Rischio Descrizione della fase Attori Elementi di ingresso Attività Elementi di uscita Verifica

15 Fase 3 Analisi del Rischio Attori Gruppo di Verifica e Validazione Team di Safety Team di Verifica Distinti e separati Analisi Attività di verifica

16 Fase 3 Analisi del Rischio Elementi di ingresso Elementi di ingresso per la fase 1. Indicazioni generali sulle funzionalità del sistema 2. Indicazioni generali sull ambiente operativo

17 Fase 3 Analisi del Rischio Attività Preliminary Hazard Analysis (PHA) Hazard Analysis Hazard Log

18 Fase 3 Analisi del Rischio Preliminary Hazard Analysis Obiettivi 1. Identificazione degli hazard 2. Identificazione delle cause 3. Determinazione del rischio associato alle situazioni pericolose (FMEA) e delle misure di mitigazione FMEA: Failure Mode and Effects Analysis a volte chiamata anche FMECA: and Criticality

19 Fase 3 Analisi del Rischio 1. PHA - Identificazione degli hazard 1. Utilizzo di checklist di dominio ferroviario Preliminary Hazard List (PHL) 2. Indagini mirate alla funzionalità del sistema in esame Hazard and Operability studies (HAZOp) 3. Utilizzo di informazioni derivanti dall esperienza dell analista 4. Utilizzo di informazioni derivanti da standard e normative Risultato di queste attività è la Hazard List

20 Fase 3 Analisi del Rischio PHA - Identificazione delle cause Eseguita effettuando una analisi FMEA del sistema nella quale sono evidenziate Cause esterne (materiali particolari, condizioni ambientali, fattori umani, ecc.) Malfunzionamenti propri del sistema Malfunzionamento delle interfacce di connessione I risultati sono riportati in forma tabulare Tabella Id delle Cause I.D. Funzione/ Interfaccia Deviazione Tipo Causa Categoria Effetto sul sistema

21 Fase 3 Analisi del Rischio Determinazione e riduzione del rischio Raccogliendo solo le cause di hazard della tabella (ID( delle Cause) ) si compone una nuova tabella (rapporto PHA) ove si 1. Identifica la classe di rischio (RC) iniziale 2. Identificano le misure per la riduzione del rischio 3. Identifica la classe di rischio finale Accettabilità del rischio Sub-Hazard Hazard sistema Classi rischio e contromisure I.D. Rif. AC. Descrizione Descrizione (da Hazard list) RC Iniziale Contromisure RC Finale Raccomandazioni Analisi delle cause (tabella precedente) Requisiti di sicurezza

22 Fase 3 Analisi del Rischio Assegnazione del SIL Safety Integrity Level (SIL) 1. È relativo a funzioni del sistema 2. È relativo a una soglia probabilistica di frequenza di eventi pericolosi 3. Viene assegnato in funzione della classe rischio da raggiungere tramite mitigazione 4. L applicazione delle misure di mitigazione riduce la frequenza di accadimento ma non ne muta la gravità

23 Fase 3 Analisi del Rischio Preliminary Hazard Analysis Riassumendo si ha il seguente processo Identificazione degli hazard HAZARD Identificazione dei sub-hazard SUB-HAZARD RCI INIZIALE CONTRO- MISURE RCI FINALE Classificazione del rischio Accettabilità e riduzione del rischio Allocazione dei SIL alle funzioni del sistema

24 Fase 3 Analisi del Rischio Hazard Analysis Obiettivi 1. Analisi delle condizioni operative del sistema 2. Identificazione di nuove cause Sub-hazard 3. Identificazione di nuove misure di riduzione del rischio (contromisure)

25 Fase 3 Analisi del Rischio Hazard Log Il registro contiene 1. L evidenza di cause ed effetti delle situazioni pericolose 2. Le misure utilizzate per la mitigazione del rischio 3. La definizione di un criterio per il riesame della tollerabilità del rischio 4. I limiti di ogni analisi svolta 5. I metodi, gli strumenti e le tecniche utilizzate

26 Fase 3 Analisi del Rischio Elementi di uscita dalla fase 1. Hazard legati al sistema e cause che li generano 2. Misure prese per la mitigazione delle cause Registro delle situazioni pericolose 3. Registro delle situazioni pericolose

27 Fase 3 Analisi del Rischio Verifica Le attività del processo di verifica permettono di valutare 1.La completezza delle valutazioni effettuate 2.L adeguatezza della classificazione del rischio 3.L adeguatezza delle modalità di registro delle attività 4.La correttezza dei metodi e delle tecniche utilizzate

28 Fase 4 Requisiti di Sistema Attori Gruppo di progetto Gruppo di V&V Specifica dei requisiti Pianificazione Attività di verifica formale Specifica del test dei requisiti

29 Fase 4 Requisiti di Sistema Specifica dei requisiti di sistema Criteri generali 1. Devono essere globali Devono coprire l intero l sistema 2. Devono formare una base per il progetto e per la sua ottimizzazione 3. Devono consentire un approccio logico ed economico ai cambiamenti 4. Devono essere testabili Devono essere assoggettabili a procedure di test 5. Devono essere tracciabili Sulle richieste del cliente e sul capitolato 6. Possono essere usati come chiara base contrattuale Un requisito dice sempre cosa e mai come

30 Fase 4 Requisiti di Sistema Specifica dei requisiti di sistema Sorgenti di requisiti Cliente Normative vigenti PHA Uscita di fase 3 Fornitore Cultura aziendale, riuso Categorie di requisiti Funzionali Di sicurezza (safety( safety) RAM (reliability( reliability, availability, maintainability) Ambientali

31 Fase 4 Requisiti di Sistema Requisiti funzionali e di sicurezza Requisiti di sistema Requisiti non connessi alla sicurezza Requisiti connessi alla sicurezza Analisi di rischio Requisiti di integrità di sicurezza Requisiti funzionali di sicurezza Malfunzionamenti sistematici Malfunzionamenti occasionali

32 Fase 4 Requisiti di Sistema Requisiti RAM Affidabilità Parametri target caratteristici Del dominio, dell ambiente, del materiale Manutenibilità Parametri target caratteristici Tipologia di manutenzione necessaria Correttiva, adattiva (tipicamente non evolutiva) Disponibilità Parametri target caratteristici Necessità di scorte di magazzino Anche per componenti software (ma nel suo modo proprio)

33 Fase 4 Requisiti di Sistema Metodi di specifica e SIL Dai SIL derivano differenti metodi di specifica dei requisiti Tecnica/Misura SIL 1 SIL 2 SIL 3 SIL 4 Separazione fra sistemi correlati e non correlati alla sicurezza Descrizione grafica esempio diagrammi a blocchi Specifiche strutturate Metodi formali o semi formali R: Interfacce ben definite fra sistemi connessi e non alla sicurezza HR HR: Separazione gerarchica manuale, descrizione interfacce HR: Interfacce ben definite fra sistemi connessi e non alla sicurezza e analisi interfacce HR HR: separazione gerarchica con uso di metodi formalizzati e controlli automatici di congruenza R: automatizzati (computer-aided) Strumenti di specifica assisti dal computer -- R: qualunque strumento HR: procedure orientate sui modelli con suddivisione gerarchica e controlli automatici di congruenza Checklist R: Checklist elaborate per tutte le fasi del ciclo di vita R: Checklist elaborate per tutte le fasi del ciclo di vita connesse alla sicurezza Hazard Log HR: L Hazard Log deve sempre essere tenuto aggiornato durante tutte le fasi del ciclo di vita del sistema Verifica delle specifiche R HR

34 Fase 4 Requisiti di Sistema Modalità di test Specifica dei test dei requisiti di sistema Ispezione visiva del sistema Ispezione documentale Test funzionale e di sicurezza (safety( safety) Definizione dei criteri per la gestione di anomalie e modifiche Istituzione di un registro delle anomalie Metodi per la modifica del sistema e test di regressione Re-testing

35 Fase 4 Requisiti di Sistema Specifica dei test dei requisiti di sistema Modalità: : ispezione documentale Azioni Ricerca di parametri in documenti di analisi Ricerca di risultati in documenti di analisi e/o di rapporti Rispetto a requisiti soggetti a verifica tramite prova RAM Procedure di installazione Procedure di collaudo Conformità a requisiti

36 Fase 4 Requisiti di Sistema Specifica dei test dei requisiti di sistema Modalità: test funzionale e di sicurezza Tipologie di test Test intrusivi sul sistema Test black-box box funzionale Requisiti soggetti a verifica tramite test F&S Requisiti funzionali Requisiti di sicurezza (safety( safety) Requisiti prestazionali

37 Fase 4 Requisiti di Sistema Specifica dei test dei requisiti di sistema Azioni per test funzionale e di sicurezza 1. Definizione della strumentazione necessaria 2. Definizione degli ambienti e/o scenari di test 3. Definizione delle impostazioni iniziali 4. Definizione delle procedure di esecuzione 5. Definizione dei risultati attesi

38 Fase 4 Requisiti di Sistema Pianificazione La Pianificazione deve Coprire la fase di Design (progettazione) Coprire la fase di Verifica e Validazione Coprire gli aspetti RAM Essere concordata con l autoritl autorità regolatrice del dominio

39 Fase 4 Requisiti di Sistema Pianificazione di aspetti RAM Occorre descrivere Politiche e strategie per il raggiungimento dei obiettivi RAM Il sistema adottato per l analisi l dei rapporti di guasto e le relative azioni correttive (FRACA[s]) Failure reporting analysis and corrective action(s) Le relazioni con altri programmi e piani collegati Ruoli, responsabilità e competenza del personale coinvolto Modalità di gestione degli aspetti RAM da parte dei sottofornitori

40 Fase 6: Sviluppo Ciclo di vita Software Attività / fasi di sviluppo SW secondo EN50128

41 Fase 6: Sviluppo Ciclo di vita Software DESIGN DOCUMENT VERIFICATION PHASE System Requirements Specification System Safety Requirements Spec System Architecture Description System Safety Plan System Verification System Development Software Requirements Test Specification Software Requirements Specification Software Requirements Verification Software Requirements Software Architecture Specification Software Architecture Verification Software Integration Plan Software Module Test Specification Software Source Code and supporting documentation Software Design Specification Software Module Design Specification Software Design Verification Software Module Verification Software Design Software Module Design Code Documenti / fasi di sviluppo SW secondo EN50128 Code Verification Software Module Test Report Software Testing Software Integration Test Report Software/Hardware Integration Test Report Software Validation Software/Hardware Integration Software Validation System integration and test documents System Integration System Validation System Validation Phase System intallation documents Site Support System maintenance documents

42 Validazione di sistema Sotto sistema 1 Interconnessioni Sotto sistema J Requisiti Sotto sistema K Sistema Sotto sistema W La validazione di sistema implica test aggiuntivi rispetto a quelli già eseguiti su ogni sottosistema!

43 Validazione di sistema Sancisce la chiusura positiva di tutte le attività di verifica Contenuti Descrizione del processo applicato e degli strumenti utilizzati Risultati per tutti i criteri di accettazione Limitazioni o restrizioni applicabili al sistema Elementi di uscita Rapporto di validazione del sistema Piano di immissione in servizio Safety Case

44 Test di Validazione Test aggiuntivi scritti dal Validatore Testing del sistema da un punto di vista indipendente Confluisce nel Rapporto di Validazione Tipologie di test utilizzabili Dedicati ai requisiti funzionali Dedicati ai requisiti di sicurezza Prove di guasto singolo e multiplo Sul comportamento temporale delle funzioni time- critical Prove di stress funzionale Prove di simulazione dell ambiente operativo

45 Safety Target Evaluation Dimostrazione quantitativa del rischio residuo associato al sistema Necessario alla redazione del Safety Case Analisi RAM Analisi di HW safety Safety Target Evaluation Hazard Analysis Analisi di SW safety Tolerable Hazard Rate (HR) Hazard Rate

46 Piano di immissione in servizio Deve prevedere Attività per l immissione l in servizio Modalità di gestione dei rapporti di segnalazione dei guasti Descrizione di eventuali limitazioni al servizio del sistema Il piano guida la preparazione della fase di installazione Piano di installazione Procedure di installazione Specifica dei collaudi Rapporto di installazione Aggiornamento del piano di safety

47 Validazione del sistema Condotta con il cliente dopo il completamento della fase di installazione Viene effettuata sul campo Una volta completata con successo (accettazione del sistema) ) dàd il via all immissione in servizio

48 Monitoraggio delle prestazioni Comporta raccolta, classificazione, analisi dei dati di osservazione sul campo Enfasi sulle deviazioni comportamentali e prestazionali Alimenta il FRACAS Consente aggiornamento delle analisi e del progetto